안랩이 지난 9월 25일 서울 그랜드인터콘티넨탈 호텔에서 기업, 금융, 공공 부문의 보안 담당자를 대상으로 통합 보안 컨퍼런스 ‘안랩 ISF 2019’를 개최했다. 이번 행사에서는 글로벌 리서치 기관 프로스트앤설리반(Frost & Sullivan)의 애널리스트 케니 여(Kenny Yeo)의 기조 연설을 비롯해 최신 보안 동향과 대응 전략을 주제로 다양한 세션 발표가 진행됐다. 또한 안랩의 최신 제품과 서비스 시연을 위한 부스 운영은 물론, 쇼케이스 프로그램을 비롯해 행사장 현장 곳곳에서 고객이 직접 참여할 수 있는 다양한 콘텐츠를 제공해 이날 행사에 참석한 보안 관계자 700여 명의 큰 호응을 얻었다.

 

올해로 11년차를 맞이한 안랩 ISF(AhnLab Integrated Security Fair, 이하 AISF) 2019의 테마는 ‘미래를 위한 트랜스포메이션을 주도하는 보안(Driving Transformation beyond the NEXT)’이다. 이날 행사에서 안랩은 5G, OT, SOAR, 위협 사냥(Threat Hunting), 위협 인텔리전스(Threat Intelligence) 등 최신 IT 및 보안의 화두를 중심으로 ▲차세대 보안 전략 ▲최신 공격 기술 및 대응 등 2가지 트랙을 통해 발표 세션을 진행했다. 또 부스 전시를 통해 안랩의 최신 보안 솔루션의 라이브 데모를 제공하고, 행사장 곳곳에서 진행된 다양한 이벤트와 쇼케이스를 통해 고객의 궁금증에 직접 답하는 시간도 마련됐다.

 

▲ 안랩 권치중 대표이사는 환영사를 통해 “고객의 성공적인 디지털 트랜스포메이션을 위해 안랩이 적극적으로 지원할 것”이라고 밝혔다.

 

안랩 권치중 대표이사는 이날 행사에서 환영사를 통해 “ICT 기반의 디지털 트랜스포메이션의 성패는 보안에 달렸다”며 “안랩은 ‘고객 주도형 보안’을 기조로 클라우드, 인공지능(AI) 등 지속적인 기술 개발과 서비스 제공을 통해 변화하는 고객 환경과 디지털 트랜스포메이션의 니즈에 민첩하게 대응할 것”이라고 말했다.

 

▲ 지난달 개최된 AISF 2019 행사에 보안 관계자 700여 명이 참석해 성황을 이뤘다.

 

지금 우리에게 필요한 것은?

프로스트앤설리반의 애널리스트 케니 여(Kenny Yeo)는 ‘아태지역의 보안 위협 환경의 변화(The Changing Cyber Security Landscape in Asia Pacific)’라는 주제로 기조 연설을 진행했다. 그는 “5G 기술로 디지털 트랜스포메이션이 가속화되면서 IT와 OT, IoT의 융합이 더욱 강화될 것”이라며 “디지털 트랜스포메이션을 추진하기 위해서는 IT, OT, IoT 보안의 융합을 함께 고려해야 한다”고 강조했다. 이와 함께 “고객정보 유출 등 보안 침해에 따른 기업의 손실은 기업이 생각하는 것보다 훨씬 장기적이며 막대한 피해를 야기한다”며 “디지털 트랜스포메이션 시대에는 보안이 기업의 중요한 비즈니스 가치이자 경쟁력이 될 것"이라고 말했다.

 

▲ 프로스트앤설리반의 케니 여(Kenny Yeo) 애널리스트와 안랩 이상국 상무는 각각 ‘변화’와 ‘실체’를 키워드로 기조 연설을 진행했다.

 

안랩 EP사업기획실 이상국 상무는 ‘보안 대응의 의미와 실체(The Reality of Security Response)’라는 주제로, 위협 대응의 패러다임 변화와 함께 새로운 보안 전략의 필요성을 강조했다. 이상국 상무는 공격자와 이에 맞서는 방어자로서의 보안 담당자의 관점을 대조적으로 설명하고, “기존과 같은 개별 포인트 솔루션 중심의 대응으로는 효과를 거두기 어렵다”며 “하나의 플랫폼 상에서 각각의 솔루션이 유기적으로 동작할 때 공격의 표면을 최소화하는 것은 물론, 현재 진행 중인 위협의 피해를 막고 사후 공격까지 대비할 수 있다”고 강조했다. 또한 최근 시장에서 차세대 보안 솔루션으로 주목받고 있는 EDR(Endpoint Detection and Response) 솔루션과 관련해 “EDR은 증적 데이터 확보를 통해 보안 이벤트의 유효성(Validation)을 검증하고 대응의 우선순위(Triage)를 판단하는 가시성을 제공하는 것”이라며 “갖춰진(Set up) 그대로 운용하는 솔루션이 아니라 고객과 보안 업체의 위협 정보 공유와 협업 통해 강화하는(Build up) 솔루션”이라고 설명했다.

 

안랩, 변화무쌍한 위협의 실체를 추적하다

최근 국내외 언론 보도를 통해 국가 주도(State-sponsored)의 해킹 그룹에 대한 관심이 높다. 안랩은 최근 화제가 된 안다리엘(Andariel) 그룹을 비롯해 국내 기관 및 기업을 대상으로 공격을 전개해온 다수의 공격 그룹을 지속적으로 모니터링하며 관련 보고서를 발표하고 있다. 이번 행사에서도 안랩은 국내 기관 및 기업을 겨냥한 타깃 공격을 비롯, 최신 위협 동향에 대한 상세한 정보를 공유했다.

 

▲ 안랩 박태환 팀장과 차민석 수석연구원은 최신 위협 동향과 타깃 공격 그룹에 대해 발표했다.

 

안랩 ASEC대응팀 박태환 팀장은 국내 기업 및 기관의 보안 침해 사례를 중심으로 ‘최신 보안 위협 동향’에 관해 발표했다. 그는 “최근 더 큰 수익을 위해 공격 그룹간의 연합과 공조가 이루어지고 있다”며 “지속적으로 국내 기관 및 기업을 타깃으로 한 지능형 공격(Advanced Persistent Threat, APT)이 증가하는 이유도 이 때문”이라고 말했다. 또한 “개인 사용자를 노린 랜섬웨어는 줄어든 반면 특정 산업, 특정 조직만 노리는 타깃형 랜섬웨어 공격은 오히려 증가하고 있다”며 “위협이 유입되는 다양한 경로에 대한 지속적인 모니터링과 공격의 전개 단계별 대응이 필요하다”고 강조했다.

 

안랩 분석연구팀 차민석 수석연구원은 ‘한국과 일본 넘나드는 틱(Tick) 그룹의 실체’라는 주제로, 특정 국가가 배후에 있는 것으로 추정되는 틱 그룹의 공격 방식과 최신 공격 사례에 대해 상세히 소개했다. 차민석 수석은 “약 10여년에 걸친 틱 그룹의 활동 기간만큼 다양한 악성코드가 존재하며 분석을 피하기 위한 다양한 공격 기법이 확인됐다”며 “특히 다른 공격 그룹과 연관되어 있는 정황도 다수 포착되고 있는 만큼 변종 악성코드와 잠재적인 위협 징후를 신속히 찾아내기 위해 다양한 탐지 룰을 마련해야 한다”고 강조했다. 또한 “틱 그룹 사례처럼 조직적이며 지속적으로 전개되는 타깃 공격에 대응하기 위해서는 기업 내부로 유입되는 위협 전반에 대한 가시성을 확보해 현재 내부에서 진행되고 있는 위협에 대해 조치하고 향후 동일한 경로로 유입되는 공격까지 예방할 수 있어야 한다”고 조언했다.

 

랜섬웨어의 타깃 공격화, 어떻게 대응할 것인가

지난해에 비해 올해는 국내외 모두 랜섬웨어 수와 감염 빈도가 전반적으로 감소한 것으로 나타났다. 대신 더 큰 수익을 얻기 위해 기업을 타깃으로 하는 표적형 공격으로 변화하는 양상이다. 국내에서는 클롭(Clop) 랜섬웨어 사례가 대표적이다. 러시아 공격 그룹이 배후로 알려진 클롭 랜섬웨어는 국내에서만 약 1만 3천여대 이상의 시스템에 피해를 입혔다.

 

▲ 안랩 이명수 책임연구원과 안병무 차장은 클롭 랜섬웨어로 대표되는 타깃형 랜섬웨어의 공격 방식과 효과적인 대응 방안을 소개했다.

 

안랩 분석연구팀 이명수 책임연구원은 ‘APT + Ransomware = Clop’이라는 주제 발표를 통해 마이터어택(MITRE ATT&CK)의 프레임워크를 기반으로 클롭 랜섬웨어 공격 방식을 상세히 설명하고, 실제 공격 과정에 대한 데모를 시연했다. 이명수 책임은 “클롭 랜섬웨어 피해 사례의 90%가 스피어피싱 이메일을 통한 감염이었으며, 액티브 디렉토리(AD)를 공격했다는 점에서 명백히 기업을 노린 타깃형 공격”이라며 “클롭 랜섬웨어는 보안 솔루션이나 분석가의 탐지 및 대응을 회피하기 위해 여러 단계를 거쳐 감염되고 동작하며 공격지를 분산하는 등의 스테이징(Staging) 기법을 사용하는 등 고도화된 모습을 보인다”고 설명했다. 특히 “랜섬웨어 동작을 하지 않거나 파일 암호화와 동시에 이메일 계정을 탈취한 사례도 있어 2차적인 공격 목표가 있을 수 있다”며 “타깃형 랜섬웨어 대응을 위해서는 랜섬웨어의 탐지, 제거 후에도 지속적으로 내부 시스템을 모니터링하여 잠재적인 위협, 흔적을 찾아 후속 공격에 사전 대응하는 것이 필요하다”고 말했다.

 

안랩 EP컨설팅팀 안병무 차장은 ‘$how Me the Money? Drop the Clop!’이라는 제목으로, 클롭 랜섬웨어 피해 사례와 효과적인 대응 방안을 소개했다. 안병무 차장은 “최근 국내외를 막론하고 기업을 타깃으로 하는 표적형 랜섬웨어가 증가하는 이유는 역시 수익(money)”이라며 “다양한 보안 솔루션을 도입했음에도 불구하고 효과적으로 대응하지 못하는 이유는 이들 솔루션이 유기적으로 동작하지 못하기 때문”이라고 설명했다. 이어 “알려진 취약점을 이용한 공격이 계속되는 것은 기업의 패치 관리에 한계가 있다는 방증”이라며 “기본적인 백신 및 패치 관리, 내부 중요 시스템 접근 통제를 확립하는 동시에 엔드포인트 상에서 위협을 추적하고 네트워크와 엔드포인트 연계를 통한 전방적인 대응 체계 마련이 중요하다”고 강조했다.

 

Time to Hunt! 이제 위협 대응도 ‘정보전’

보안 담당자들이 가장 관심을 갖는 부분은 역시 ‘위협 대응’이다. ‘위협 인텔리전스(Threat Intelligence, 이하 TI)’나 ‘위협 사냥(Threat Hunting)’이 자주 회자되는 이유도 바로 이 때문이다.

 

▲ 안랩 김창희 팀장과 백민경 부장은 기업 보안 담당자들의 관심이 높은 위협 인텔리전스 기반의 위협 대응 및 위협 사냥에 대해 발표했다.

 

안랩 제품기획팀 김창희 팀장은 ‘위협 인텔리전스(TI), 실효성에 포커스하라’라는 제목으로, 위협 인텔리전스의 정의와 기업에서의 활용 방안에 대해 발표했다. 김창희 팀장은 “TI는 위협 데이터라는 증거 기반의 지식이며, 위협 대응의 의사 결정에 있어 근거로 활용하는 것”이라며 “많은 업체들이 TI를 제공하고 있지만 국내 기업 환경에서도 유효한 정보인지, 그것을 통해 기업이 얻을 수 있는 효과는 무엇인지 검토할 필요가 있다”고 말했다. 또한 “안랩은 국내에서 수집한 실제 위협 정보에 대한 분석을 통해 실효성 있는 TI를 마련해 제품에 반영하고 다양한 콘텐츠로 제공하고 있다”며 “고객의 요구에 따라 TI를 서비스화하여 위협 정보를 실시간으로 공유하고 활용하는 포털의 역할을 제공할 것”이라고 밝혔다.

 

안랩 EP컨설팅팀 백민경 부장은 ‘EDR을 통한 엔드포인트 위협 대응 사례’를 주제로, EDR 솔루션을 활용한 선제적 대응 방안 및 위협 사냥 전략을 소개했다. 백민경 부장은 “현재 발생하고 있는 공격의 가장 큰 특징은 타깃 내부에서의 잠복기(Dwell time)이 상당히 길다는 것”이라며 “따라서 잠복하고 있는 위협을 추적하고 피해 발생 전에 인지하고 대응해야 한다”고 강조했다. 또한 “이것이 바로 위협 사냥(Threat Hunting)의 시작”이라며 “EDR을 통해 엔드포인트 상에서의 행위 로그를 수집, 분석함으로써 위협이 유입된 경로부터 접근한 파일, 권한 상승 시도 등 숨겨진 행위와 의도를 파악할 수 있다”고 설명했다. 이어 “EDR을 통한 침해 원인 파악 및 재발 방지로 피해 범위와 규모를 최소화할 수 있다”며 “EDR의 수집 및 분석 결과를 연계 정책 및 대응에 활용함으로써 발생 가능한 위협에 대한 사전 대응이 가능하다”고 강조했다.

 

확대되는 보안 영역, 클라우드와 OT(Operational Technology)

최근 국내에서도 비즈니스 인프라의 클라우드 이전이 가속화됨에 따라 클라우드 보안에 대한 관심이 증가하고 있다.

 

▲ 안랩 노영진 상무와 박철민 팀장, 김병주 과장이 비즈니스 인프라의 변화와 이에 따라 확대되는 보안 영역에 대한 대응 방안을 공유했다.

 

안랩 NW개발본부 노영진 상무는 ‘클라우드 보안 위협과 CWPP 전략’이라는 주제로, 기업 보안 관점에서 CWPP(Cloud Workload Protection Platform)의 중요성에 대해 상세히 설명했다. 노영진 상무는 “전 세계적으로 클라우드 시장이 확대되고 있는 가운데, 우리나라에서는 IaaS(Infrastructure as a Service, 서비스형 인프라) 중심으로 클라우드 시장이 성장하고 있다”며 “클라우드 인프라와 관련된 보안 이슈가 제기되고 있지만 적절한 보안 솔루션을 찾기가 어려운 상황”이라고 지적했다. 이어 “기업의 클라우드 워크로드를 보호하기 위해서는 위협 표면 최소화와 제로트러스트(Zero Trust)의 관점에서 애플리케이션 제어, 네트워크 통신 제어가 필수적”이라고 강조했다. 또한 “안랩은 효과적인 클라우드 워크로드 보호를 위해 독자적인 애플리케이션 제어 기술과 HIPS 제품을 제공할 예정”이라며 “클라우드와 기존 온프레미스(on-premise) 환경을 단일 매니지먼트로 관리할 수 있도록 서비스할 계획”이라고 밝혔다.

 

안랩 보안아키텍트팀 박철민 팀장은 ‘기업의 클라우드 환경을 위한 보안 프레임워크’를 주제로 ▲클라우드 거버넌스(보안 정책) ▲클라우드 보안 기술 ▲클라우드 운영 관리의 영역에서의 보안 요구 사항과 기술적 요구 사항을 설명하고 이에 대한 안랩의 포트폴리오를 소개했다. 박철민 팀장은 “클라우드 시대로 본격 진입함에 따라 어떤 조직이든 비즈니스 인프라를 클라우드로 전환하는 시기”라며 “지금은 클라우드와 온프레미스가 혼재되는 환경이 대부분이지만 머지않아 멀티 클라우드 환경으로 변화할 것이기 때문에 현재와 다음을 고려한 보안 대응 방안을 마련해야 한다”고 강조했다. 이어 “안랩은 이미 보안 관제 서비스의 프레임워크 자체를 클라우드에 맞춰 전환(transformation)했다”며 “클라우드 운영•관리 측면에서 다양한 클라우드 관제 서비스, 컨설팅 서비스를 통해 고객의 안정적이며 안전한 클라우드 전환을 지원하고 있다”고 말했다.

 

클라우드로의 이전이 디지털 트랜스포메이션의 시작이라면 4차 산업혁명의 핵심은 OT(Operational Technology)라 할 수 있다. 최근 국내외 보안 전문가들이 OT 보안을 강조하는 이유도 바로 이 때문이다. 이와 관련해 안랩 EP기술지원1팀의 김병주 과장은 ‘변화하는 OT 환경의 최신 보안 위협과 대응 사례’라는 주제 발표를 통해 산업제어시스템(ICS)의 해킹 피해 사례를 소개하고 OT 환경 보안의 가이드라인을 제시했다.

 

김병주 과장은 “얼마 전까지만 해도 일반 업무 환경인 IT와 산업시설 등 OT는 명확하게 구분되었으며, OT는 폐쇄망에 존재했기 때문에 상대적으로 안전하다고 간주되었다”며 “그러나 최근 OT와 IT가 융합되고 OT 환경의 네트워크 연결이 늘어남에 따라 OT 보안에 대한 인식과 접근이 달라져야 한다”고 주장했다. 또한 “OT 환경 보안에 있어 가장 중요한 기술적 요소는 화이트리스트 기반의 애플리케이션 제어”라면서도 “최근 범용 애플리케이션을 사용하는 OT 시스템이 늘어남에 따라 일반적인 방식으로는 1만개 이상의 프로세스에 대해 일일이 화이트리스팅하기 어렵다”고 지적했다. 이어 “안랩은 독자적인 기술로 자동화된 화이트리스팅 기반의 애플리케이션 제어를 제공하고 있다”고 소개하고 “복합적인 구조의 OT 환경 보안을 위한 다양한 제품 라인업을 제공하고 있다”고 덧붙였다.

 

5G 시대의 네트워크 보안, 그리고 위협 대응의 자동화

초연결 시대로 접어들면서 기업은 안정적인 서비스를, 보안 담당자들은 네트워크 보안 위협을 우려하고 있다. 이와 관련해 안랩 네트워크사업기획팀의 황재훈 부장과 임준혁 과장은 최신 네트워크 보안 위협과 대응 방안을 소개했다.

 

황재훈 부장은 ‘네트워크 위협 대응의 플러스 알파’라는 제목으로, 실질적인 네트워크 보안 관리를 위한 전략을 소개했다. 그는 “5G 환경으로 변화하면서 네트워크 대역폭이 기존 대비 20배 증가했다”며 “또한 IoT 기기나 취약점을 이용한 봇에 의한 네트워크 위협이 증가하고 있다”고 설명했다. 이어 “지금까지는 네트워크의 수직적인 경계에서 ‘차단’에 주목했다면 이제는 수평적인 관점에서의 ‘대응’에도 집중해야 할 시점”이라며 “인바운드 및 아웃바운드 트래픽과 더불어 내부(internal) 트래픽에 대한 모니터링 및 탐지가 필요하다”고 강조했다.

 

▲ 안랩 황재훈 부장과 임준혁 과장이 5G 시대의 네트워크 보안 위협과 대응 방안을,

권용 차장이 위협 대응 자동화(SOAR)에 대해 소개해 참석자들의 큰 관심을 받았다.

 

황재훈 부장은 “안랩의 차세대 네트워크 침입방지 솔루션 AhnLab AIPS는 5G 환경에 최적화된 네트워크 보안 솔루션”이라며 “차별적인 정확도의 위협 탐지 규칙을 토대로 최신 보안 위협에 대해 네트워크 상에서 선제적인 대응이 가능하다”고 말했다.

 

네트워크 보안과 관련해 임준혁 과장은 기업의 안정적인 비즈니스 운영에 가장 큰 적인 DDoS 공격과 대응 방안에 대한 최신 정보를 제공했다. 그는 “우리나라에서 발생하는 DDoS 공격은 다른 국가와는 조금 다른 양상”이라며 “국내에서는 100Gbps 공격이 드물고, IoT 기기를 이용한 DDoS 공격은 거의 없다”고 전했다. 반면 최근 일반인들도 DDoS 공격 툴을 쉽게 구할 수 있게 되면서 국내에서는 정치적•사회적 이슈에 따른 DDoS 공격이 빈번하며 비트코인이나 온라인 게임 관련 분야에서 DDoS 공격이 주로 발생하고 있다고 설명했다. 이어 “DDoS 공격은 기업의 네트워크를 무력화하여 2차 공격을 감행하기 위한 수단이 될 수 있다”며 “안랩은 다단계 필터와 보호 대상별 상세한 대응 방안을 제공하고 있으며, 서비스와 온프레미스가 연계된 하이브리드 대응 체계를 갖추고 있다”고 말했다.

 

기업의 인프라가 다변화되고 보안 위협이 고도화됨에 따라 위협 대응 자동화를 고려하는 기업이 늘고 있다. 이와 관련해 안랩 서비스사업기획팀 권용 차장은 ‘효율적인 SOAR 도입 방안’을 소개했다. 권용 차장은 “기업에 다수의 보안 제품이 도입되면서 더 많은 보안 이벤트가 발생해 보안 관리자가 대응하기 버거운 상황”이라며 “자동화(Automation)와 보안 솔루션간의 연계(Orchestration)를 통해 보안 담당자들의 반복적인 업무를 최소화하고 실제 위협 이벤트를 구별해 대응해야 한다”고 말했다. 이어 SOAR(Security Orchestration, Automation, and Response)의 정의와 4가지 주요 기능을 소개하고, 이것이 안랩의 세피티니에어(Sefinity AIR)에서 어떻게 구현되고 있는지 설명했다. 그는 “SOAR는 고객사의 환경 분석을 통해 필요 시 커스터마이징 작업을 수행할 수 있어야 한다”며 “안랩은 다양한 레퍼런스를 통해 축적된 경험과 기술력을 바탕으로 다양한 고객 환경에 최적화된 SOAR를 제공하고 있다”고 말했다.

 

즉문즉답, 고객의 고민에 실시간으로 대응

이번 ASIF 2019 행사는 안랩의 제품 전시 부스와 함께 쇼케이스 센터를 동시 운영해 고객들이 최신 보안 기술과 안랩의 솔루션을 직접 눈으로 보고 궁금증을 해소할 수 있도록 했다.

 

▲ 쇼케이스 센터 진행된 안랩 솔루션 시연에 보안 담당자들의 시선이 집중됐다.

 

이번 행사에는 안랩의 공인파트너사인 SCK, 비츠코리아, 디모아, 네오시안, 디노텍, 소프트2000, 인사이드프로, 에프씨정보, LNS정보기술, 유앤아이소프트, 유콘텍, 에코넷시스템, 2CL시스템, 태광네트웍정보, 타임게이트, 델 테크놀로지(Dell Technologies)가 참가해 상담 부스를 운영하는 등 최신 보안 솔루션 도입을 희망하는 고객들의 궁금증에 답했다. 이 밖에도 이날 행사장에서는 보안 담당자들을 위해 스탬프 이벤트와 페이스북 이벤트 등 다양한 즐거움도 함께 제공했다.